Con la herramienta RATS es posible auditar la seguridad del código de aplicaciones escritas en: C, C++, Perl, PHP y Python.
RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad.
Uso:
Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]
Opciones explicadas:
– d especifica una base de datos de vulnerabilidades externa para cargar. Rats contiene una base de datos interna pero con este parámetro se pueden pasar otras bases de datos.
– h exhibe un breve resumen sobre el uso de rats.
– i muestra una lista de llamadas de función a las que se le pasaron archivos externos. Esta lista aparece al final de la lista de vulnerabilidades.
– l fuerza el lenguaje que se utilizará sin importar la extensión de nombre de fichero. Los nombres válidos del lenguaje son actualmente “c”, “Perl”, “PHP” y “pitón”.
– r aplica referencias a las llamadas de función vulnerables que no se están utilizando.
– w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.
– x no carga la bases de datos de vulnerabilidades que tiene por defecto.
Rats está disponible tanto para la plataforma Windows como Linux bajo licencia GNU. Es una herramienta muy útil para limpiar errores de código y fallos de seguridad, aunque debe usarse como complemento de una buena inspección manual.
Más información y descarga de Rats:
http://www.fortify.com/security-resources/rats.jsp
